Root-Zugriff für Mitgliedskonten zentralisieren - AWS Identitäts- und Zugriffsverwaltung
VoraussetzungenZentralisierten Root-Zugriff aktivieren (Konsole)Zentralisierten Root-Zugriff aktivieren (AWS CLI)Zentralisierten Root-Zugriff aktivieren (AWS -API)Nächste Schritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Root-Zugriff für Mitgliedskonten zentralisieren

Root-Benutzeranmeldedaten sind die anfänglichen Anmeldeinformationen AWS-Konto , die jedem Benutzer zugewiesen werden, der vollständigen Zugriff auf alle AWS Dienste und Ressourcen im Konto hat. Wenn Sie die Aktivierung aktivieren AWS Organizations, fassen Sie alle Ihre AWS Konten zu einer Organisation für die zentrale Verwaltung zusammen. Jedes Mitgliedskonto hat seinen eigenen Root-Benutzer mit Standardberechtigungen zum Ausführen aller Aktionen im Mitgliedskonto. Wir empfehlen Ihnen, die Root-Benutzeranmeldedaten von AWS-Konten Managed Using zentral zu sichern AWS Organizations , um zu verhindern, dass Root-Benutzeranmeldedaten wiederhergestellt und in großem Umfang darauf zugegriffen werden kann.

Nachdem Sie den Root-Zugriff zentralisiert haben, können Sie die Root-Benutzer-Anmeldeinformationen aus den Mitgliedskonten in Ihrer Organisation löschen. Sie können das Root-Benutzer-Passwort, Zugriffsschlüssel und Signaturzertifikate entfernen sowie die Multi-Faktor-Authentifizierung (MFA) deaktivieren. Neue Konten, die Sie in AWS Organizations erstellen, verfügen standardmäßig über keine Root-Benutzer-Anmeldeinformationen. Mitgliedskonten können sich nicht bei ihrem Root-Benutzer anmelden oder eine Passwortwiederherstellung für ihren Root-Benutzer durchführen.

Anmerkung

Während einige Aufgaben, die Stammbenutzer-Anmeldeinformationen erfordern vom Verwaltungskonto oder delegierten Administrator für IAM ausgeführt werden können, lassen sich andere Aufgaben nur ausführen, wenn Sie sich als Root-Benutzer eines Kontos anmelden.

Wenn Sie die Anmeldeinformationen des Root-Benutzers für ein Mitgliedskonto wiederherstellen müssen, um eine dieser Aufgaben auszuführen, befolgen Sie die Schritte unter Ausführen einer privilegierten Aufgabe und wählen Sie Passwortwiederherstellung zulassen. Die Person mit Zugriff auf den E-Mail-Posteingang des Root-Benutzers kann für das Mitgliedskonto das Root-Benutzer-Passwort zurücksetzen und sich beim Root-Benutzer des Mitgliedskontos anmelden.

Wir empfehlen, die Anmeldeinformationen des Root-Benutzers zu löschen, sobald Sie die Aufgabe abgeschlossen haben, für die der Zugriff auf den Root-Benutzer erforderlich ist.

Voraussetzungen

Bevor Sie den Root-Zugriff zentralisieren, muss ein Konto mit den folgenden Einstellungen konfiguriert sein:

  • Sie benötigen die folgenden IAM-Berechtigungen:

    • iam:GetAccessKeyLastUsed

    • iam:GetAccountSummary

    • iam:GetLoginProfile

    • iam:GetUser

    • iam:ListAccessKeys

    • iam:ListMFADevices

    • iam:ListSigningCertificates

    • sts:AssumeRoot

    Anmerkung

    Um den Status der Root-Benutzeranmeldeinformationen eines Mitgliedskontos zu überprüfen, können Sie die IAMAuditRootUserCredentials AWS verwaltete Richtlinie verwenden, um die Berechtigungen einzuschränken, wenn Sie eine privilegierte Aufgabe für ein AWS Organizations Mitgliedskonto ausführen, oder Sie können eine beliebige Richtlinie mit Zugriff auf verwenden. iam:GetAccountSummary

    Zum Erstellen des Berichts mit den Anmeldeinformationen des Root-Benutzers benötigen andere Richtlinien lediglich die iam:GetAccountSummary-Aktion, um das gleiche Ergebnis zu erzielen. Sie können auch einzelne Informationen zu den Anmeldeinformationen von Root-Benutzern auflisten oder abrufen, darunter:

    • Ob ein Root-Benutzer-Kennwort vorhanden ist

    • Ob ein Root-Benutzer-Zugriffsschlüssel vorhanden ist und wann er zuletzt verwendet wurde

    • Ob dem Root-Benutzer Signaturzertifikate zugeordnet sind

    • Mit Root-Benutzern verknüpfte MFA-Geräte

    • Liste des konsolidierten Status der Root-Benutzer-Anmeldeinformationen

  • Sie müssen Ihre Eingaben AWS-Konten verwalten. AWS Organizations

  • Sie müssen über die folgenden Berechtigungen verfügen, um dieses Feature in Ihrer Organisation zu aktivieren:

    • iam:EnableOrganizationsRootCredentialsManagement

    • iam:EnableOrganizationsRootSessions

    • iam:ListOrganizationsFeatures

    • organizations:EnableAwsServiceAccess

    • organizations:ListAccountsForParent

    • organizations:RegisterDelegatedAdministrator

  • Um eine optimale Konsolenfunktionalität zu gewährleisten, empfehlen wir, die folgenden zusätzlichen Berechtigungen zu aktivieren:

    • organizations:DescribeAccount

    • organizations:DescribeOrganization

    • organizations:ListAWSServiceAccessForOrganization

    • organizations:ListDelegatedAdministrators

    • organizations:ListOrganizationalUnitsForParent

    • organizations:ListParents

    • organizations:ListTagsForResource

Zentralisierten Root-Zugriff aktivieren (Konsole)

Um diese Funktion für Mitgliedskonten in der zu aktivieren AWS-Managementkonsole

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich der Konsole Root-Zugriffsverwaltung und dann Aktivieren aus.

    Anmerkung

    Wenn Sie sehen, dass die Root-Zugriffsverwaltung deaktiviert ist, aktivieren Sie den vertrauenswürdigen Zugriff für AWS Identity and Access Management in AWS Organizations. Einzelheiten finden Sie unter AWS -IAM und AWS Organizations im AWS Organizations -Benutzerhandbuch.

  3. Wählen Sie im Abschnitt „Zu aktivierende Funktionen“ aus, welche Features aktiviert werden sollen.

    • Wählen Sie Verwaltung der Root-Anmeldeinformationen aus, um dem Verwaltungskonto und dem delegierten Administrator für IAM zu erlauben, Root-Benutzer-Anmeldeinformationen für Mitgliedskonten zu löschen. Sie müssen privilegierte Root-Aktionen in Mitgliedskonten aktivieren, um Mitgliedskonten die Wiederherstellung ihrer Root-Benutzer-Anmeldeinformationen nach deren Löschung zu ermöglichen.

    • Wählen Sie Privilegierte Root-Aktionen in Mitgliedskonten aus, um dem Verwaltungskonto und dem delegierten Administrator für IAM die Ausführung bestimmter Aufgaben zu ermöglichen, für die Root-Benutzer-Anmeldeinformationen erforderlich sind.

  4. (Optional) Geben Sie die Konto-ID des delegierten Administrators ein, der berechtigt ist, den Root-Benutzerzugriff zu verwalten und privilegierte Aktionen für Mitgliedskonten auszuführen. Wir empfehlen ein Konto, das für Sicherheits- oder Verwaltungszwecke vorgesehen ist.

  5. Wählen Sie Enable (Aktivieren) aus.

Zentralisierten Root-Zugriff aktivieren (AWS CLI)

Um den zentralisierten Root-Zugriff über AWS Command Line Interface (AWS CLI) zu aktivieren

  1. Wenn Sie den vertrauenswürdigen Zugriff für AWS Identity and Access Management in noch nicht aktiviert haben AWS Organizations, verwenden Sie den folgenden Befehl: aws organizations enable-aws-service-access.

  2. Verwenden Sie den folgenden Befehl, damit das Verwaltungskonto und der delegierte Administrator die Root-Benutzeranmeldeinformationen für Mitgliedskonten löschen können: aws iam enable-organizations-root-credentials -management.

  3. Verwenden Sie den folgenden Befehl, damit das Verwaltungskonto und der delegierte Administrator bestimmte Aufgaben ausführen können, für die Root-Benutzeranmeldedaten erforderlich sind: aws iam. enable-organizations-root-sessions

  4. (Optional) Verwenden Sie den folgenden Befehl, um einen delegierten Administrator zu registrieren: aws organizations. register-delegated-administrator

    Im folgenden Beispiel wird das Konto 111111111111 als delegierter Administrator für den IAM-Service zugewiesen.

    aws organizations register-delegated-administrator 
--service-principal iam.amazonaws.com
--account-id 111111111111

Zentralisierten Root-Zugriff aktivieren (AWS -API)

Um den zentralisierten Root-Zugriff über die AWS API zu aktivieren

  1. Wenn Sie den vertrauenswürdigen Zugriff für AWS Identity and Access Management in noch nicht aktiviert haben AWS Organizations, verwenden Sie den folgenden Befehl: AWSServiceZugriff aktivieren.

  2. Verwenden Sie den folgenden Befehl, damit das Verwaltungskonto und der delegierte Administrator die Root-Benutzeranmeldeinformationen für Mitgliedskonten löschen können: EnableOrganizationsRootCredentialsManagement.

  3. Verwenden Sie den folgenden Befehl, damit das Verwaltungskonto und der delegierte Administrator bestimmte Aufgaben ausführen können, für die Root-Benutzeranmeldeinformationen erforderlich sind:. EnableOrganizationsRootSessions

  4. (Optional) Verwenden Sie den folgenden Befehl, um einen delegierten Administrator zu registrieren:. RegisterDelegatedAdministrator

Nächste Schritte

Nachdem Sie die privilegierten Anmeldeinformationen für die Mitgliedskonten in Ihrer Organisation zentral gesichert haben, finden Sie unter Ausführen einer privilegierten Aufgabe Informationen zum Ausführen privilegierter Aktionen für ein Mitgliedskonto.